phpwaf规则按配置中从上到下顺序短路匹配,命中即执行动作且不再检查后续规则;必须前置白名单ip、静态资源豁免、良性爬虫ua三类高优规则,sql注入规则应置于xss之前以确保高危攻击优先拦截。
规则匹配顺序决定拦截效果
PHPWAF 是按配置文件中规则出现的**从上到下顺序**逐条匹配的,一旦某条规则命中(match为 true),就会立即执行对应动作(如 deny、log 或跳过后续检查),后面的规则不再触发。这不是“权重打分”,而是典型的“短路匹配”。所以把高频误触或低风险规则放前面,等于主动给攻击者让路。
必须前置的三类高优规则
以下规则建议硬性放在 config.php 的 $rules 数组最顶部(或规则文件最开头):
-
白名单 IP 检查:用$config['allow_ips'] = ['192.168.1.0/24', '203.0.113.5'];直接skip,避免管理员被自己 WAF 拦在门外 -
静态资源豁免:对.js、.css、.png等后缀加skip规则,否则每张图片请求都要跑一遍 SQL/XSS 正则,白白拖慢 TTFB -
已知良性爬虫 UA 过滤:匹配Googlebot|Bingbot|yandex并skip,否则搜索引擎抓取时可能触发误限速或质询
SQL 注入规则别堆在底部
很多人把 enable_sql_injection = true 当开关用,其实它背后是若干正则规则(如 unions+select、sleep(d+))。如果这些规则排在 XSS 或文件上传规则之后,而攻击者先发一个带 <script></script> 的 payload 被 XSS 规则拦住,SQL 注入特征反而没机会被检测——但真实攻击常混用多种手法。正确做法是:
- 把 SQL 注入相关正则单独提成一组,放在 XSS 规则之前(因为 SQL 注入更致命、特征更稳定)
- 避免写过于宽泛的规则,例如
select.*from会误杀SELECT * FROM users WHERE name LIKE '%select%',改用b(select|union|insert)s+(alls+)?(intos+)?fromb更稳妥 - 对
POST /wp-admin/admin-ajax.php这类高危接口,可额外加一条「强匹配 + deny」规则,不依赖通用 SQL 规则库
自定义规则要设 priority 字段(若支持)
部分 PHPWAF 分支(如 github 上 phpwaf/rules v2.3+)支持在自定义规则里显式声明 priority,数值越小越靠前。例如:
立即学习“PHP免费学习笔记(深入)”;
$config['custom_rules'][] = [ 'pattern' => '/wp-login.php$/i', 'source' => 'REQUEST_URI', 'action' => 'challenge', 'priority' => 10 ]; $config['custom_rules'][] = [ 'pattern' => '/unions+select/i', 'source' => 'REQUEST_BODY', 'action' => 'deny', 'priority' => 5 // 这条会比上面那条先执行 ];没这个字段的版本,就老老实实按数组索引顺序排——别指望靠注释或空行控制优先级。上线前务必用 curl -X POST "http://yoursite.com/?id=1%20union%20select%201,2,3" 验证是否真被拦在登录页之前。
规则排序不是调参游戏,是防御逻辑的拓扑结构。漏掉白名单或把静态资源检查放太后面,再强的 SQL 规则也救不了 CPU 100% 的夜。